Prestation canadienne d'urgence pour les étudiants - Sommaire d'évaluation des facteurs relatifs à la vie privée

Direction de l’intégration horizontale
Direction générale de cotisation, de prestation et de service
Agence du revenu du Canada

Aperçu et amorce d’une ÉFVP

Institution fédérale

Agence du revenu du Canada/ Emploi et Développement social Canada

Fonctionnaire responsable de l’ÉFVP

Frank Vermaeten
Sous-commissaire
Direction générale de cotisation, de prestation et de service
Agence du revenu du Canada

Atiq Rahman
Sous-ministre adjoint
Direction générale de l’apprentissage
Emploi et Développement social Canada

Responsable de l’institution fédérale ou délégué aux fins de l’article 10 de la Loi sur la protection des renseignements personnels

Steven Morgan
Directeur général
Direction de l’accès à l’information et de la protection des renseignements personnels
Agence du revenu du Canada

Scott MacKay
Directeur
Division de la gestion de la protection des renseignements personnels
Emploi et Développement social Canada

Nom du programme ou de l’activité de l’institution fédérale

Pour l’Agence :
Programme de prestations

Pour EDSC :
Programme de prestations

Catégories de documents spécifiques à l’institution ou ordinaire :

La Prestation canadienne d’urgence (PCU), la Prestation canadienne d’urgence pour les étudiants (PCUE), la Prestation canadienne de la relance économique (PCRE), la Prestation canadienne de maladie pour la relance économique (PCMRE) ou la Prestation canadienne de la relance économique pour proches aidants (PCREPA) sont généralement considérées comme un revenu imposable.
ARC DGCPS 649

Fichier de renseignements personnels (FRP) spécifiques à l’institution ou ordinaire :

Prestation canadienne d’urgence pour les étudiants
ARC PPU 641

Autorisation légale pour le programme ou l’activité

Ce qui suit représente les autorités pour EDSC :

• En vertu de la Loi sur la prestation canadienne d’urgence pour étudiants, le ministre d’EDSC est responsable de l’administration et de l’exécution de la LPCUE.
• Loi sur la prestation canadienne d’urgence pour les étudiants, les articles 10 et 11 pour la collecte et l’utilisation de renseignements et de documents, y compris le NAS.
• L’article 11 de la Loi sur le ministère de l’Emploi et du Développement social (LMEDS) stipule ce qui suit : « Le ministre peut déléguer ses attributions, à titre individuel ou collectif, au ministre du Travail, à la Commission ou à toute autre personne ou à tout autre organisme qu’il désigne. » Remarque : le ministre d’EDSC a le pouvoir de désigner des personnes ou des organismes qui pourront exercer des pouvoirs ministériels et prendre des décisions qui ne seraient autrement conférées qu’à lui. Le pouvoir d’appliquer les articles 4, 5, 6 et 10 à 15, y compris les paiements et le traitement des renseignements personnels en ce qui a trait à l’administration et à l’exécution de la Loi, est accordé aux fonctionnaires de l’Agence au moyen d’un instrument de délégation (lettre d’autorisation).

Ce qui suit représente le pouvoir de l’Agence d’administrer ces prestations au nom d’EDSC :

•  L’article 61 de la Loi sur l’Agence du revenu du Canada autorise l’Agence à conclure des contrats, des ententes ou tout autre arrangement avec des gouvernements, des organisations ou organismes publics ou privés ou des particuliers au nom de Sa Majesté du chef du Canada ou en son propre nom. Remarque : cela confère à la ministre de l’Agence le pouvoir de conclure des ententes pour administrer des programmes au nom d’autres pouvoirs publics ou d’organismes publics ou privés.
•  Instrument de délégation (lettre d’autorisation) émis en vertu de l’article 11 de la Loi sur le ministère de l’Emploi et du Développement social à l’Agence du revenu du Canada à l’égard de la Loi sur la prestation canadienne d’urgence pour les étudiants, signé le 12 mai 2020.
• Selon l’article 10 de la Loi sur l’Agence du revenu du Canada, l’Agence est autorisée à accepter la délégation de pouvoirs lui permettant d’appliquer la LPCUE au nom d’EDSC.
• Loi de l’impôt sur le revenu : Paragraphe 241(5) : Autorise un fonctionnaire de l’Agence à fournir des renseignements sur un contribuable avec le consentement du contribuable à un fonctionnaire uniquement aux fins de l’administration et de l’exécution de la Loi sur la prestation canadienne d’urgence pour les étudiants lorsqu’ils présentent une demande de PCUE.

Résumé du projet, de l’initiative, des modifications

Aperçu du programme ou de l’activité

Le 1^er mai 2020, le gouvernement a adopté une loi (projet de loi C-15) Loi concernant la prestation canadienne d’urgence pour étudiants (maladie à coronavirus 2019). Ce texte autorise le paiement de la Prestation canadienne d’urgence pour les étudiants (PCUE) aux étudiants qui ont perdu des possibilités de travail et de revenus pour des raisons liées à la COVID-19 (maladie à coronavirus).

La PCUE a fourni un allègement financier d’urgence aux étudiants et aux nouveaux diplômés qui n’étaient pas admissibles à la Prestation canadienne d’urgence ou aux prestations d’assurance-emploi (AE) et qui n’étaient pas en mesure de trouver du travail en raison de la COVID-19. La PCUE a fourni un soutien financier pour un maximum de quatre (4) mois, de mai 2020 à août 2020. Les étudiants ont été en mesure de présenter une demande rétroactive pour cette prestation jusqu’au 30 septembre 2020.

Les étudiants admissibles ont reçu 1 250 $ par mois, plus un montant supplémentaire de 750 $ par mois s’ils avaient au moins un enfant de moins de 12 ans ou d’autres personnes à charge, ou s’ils avaient une déficience pour un maximum de 2 000 $ par mois.

La prestation était offerte aux étudiants qui :

• étaient citoyen canadien, Indien inscrit, résident permanent ou personne protégée.
• l’une des situations suivantes s’applique à eux :
  • étaient inscrit à un programme d’enseignement postsecondaire;
  • ont terminé leurs études postsecondaires en décembre 2019 ou plus tard;
  • ont terminé leurs études secondaires ou obtenu l’équivalent d’un diplôme d’études secondaires entre le 1^er janvier 2020 et le 6 juin 2020, et ce qui suit s’applique à eux :
    • la date de fin d’études secondaires est antérieure au premier jour de la période d’admissibilité de quatre semaines pour laquelle ils présentent une demande.
    • ont déposé une demande d’inscription à un programme d’études postsecondaires qui débute avant le 1^er février 2021.
  • ont terminé ou prévoient terminer leurs études secondaires ou obtenir l’équivalent d’un diplôme d’études secondaires entre le 7 juin 2020 et le 31 décembre 2020, et ont présenté une demande d’inscription à un programme d’enseignement postsecondaire qui commence avant le 1^er février 2021.
• n’ont pas présenté de demande de Prestation canadienne d’urgence ni de demande de prestations d’assurance-emploi pour la même période d’admissibilité de quatre semaines, et ne reçoivent pas ces prestations.
•  pour des raisons liées à la COVID-19, ils :
  • étaient incapable de travailler;
  • cherchaient du travail, mais n’arrivaient pas à en trouver;
  • travaillaient, mais ne s’attendaient pas à gagner plus de 1 000 $ au cours de la période de quatre semaines pour laquelle ils présentent une demande.

Les particuliers ont commencé à soumettre des demandes de PCUE à compter du 15 mai 2020, et le programme exigeait qu’ils attestent qu’ils satisfaisaient aux exigences en matière d’admissibilité. Ils devaient confirmer de nouveau leur droit aux prestations toutes les quatre semaines.

Les Canadiens pouvaient sélectionner l’un des trois moyens suivants pour présenter une demande de prestations :

1. à l’aide du portail sécurisé Mon dossier de l’Agence;
2. en composant le numéro sans frais du système de demande automatisé;
3. en composant le numéro sans frais des demandes de renseignements des particuliers pour obtenir de l’aide s’ils ne peuvent utiliser les autres services.

L’Agence a administré cette prestation au nom d’EDSC et a utilisé les renseignements existants sur les contribuables pour l’administration et certaines activités de vérification de l’admissibilité avant paiement (phase 1), ainsi que pour l’observation et l’exécution après paiement (phase 2). Les échanges de données de renseignements personnels entrepris au cours de la phase 1 sont décrits ci-dessous (voir la section sur le type de renseignements personnels concernés et contexte). La phase 2 est hors de la portée et sera évaluée dans le cadre d’une évaluation des facteurs relatifs à la vie privée (ÉFVP) distincte.

La portée de l’évaluation des facteurs relatifs à la vie privée

La phase 1 porte uniquement sur l’administration de la prestation. On estime qu’elle fait partie du champ d’application de la présente ÉFVP. Des activités post-vérification, d’observation et d’exécution seront entreprises à la phase 2, pour s’assurer que les demandeurs qui ont droit aux prestations les ont reçues et que tout paiement en trop est perçu en conséquence, comme il est prévu dans le protocole d’entente entre EDSC et l’Agence. Une nouvelle ÉFVP abordera les activités d’observation et d’exécution de la phase 2.

Aux fins de l’administration de cette prestation, les avis juridiques et le protocole d’entente font la distinction entre la collecte, l’utilisation et la divulgation des renseignements personnels recueillis en vertu de la LPCUE et la collecte de renseignements sur les contribuables en vertu de la LIR (c.-à-d. les renseignements qui ont été recueillis aux fins d’administration et d’exécution de la LIR).

Détermination et classement du risque

A) Type de programme ou d’activité

Administration des programmes/ Activités et services

Niveau de risque pour la vie privée : 2

Détails :

Les renseignements personnels ont été utilisés par EDSC et l’Agence pour administrer la PCUE. L’administration de la prestation de la phase 1 fait partie de la portée de la présente ÉFVP. Les activités d’observation et d’exécution de la phase 2 ne font pas partie de la portée de la présente ÉFVP.

B) Type de renseignements personnels en jeu et contexte

Le numéro d’assurance sociale (NAS), les renseignements médicaux ou financiers, ou d’autres renseignements personnels de nature délicate ou dont le contexte est de nature délicate. Les renseignements personnels de mineurs, de personnes inaptes ou de représentants agissant au nom d’un particulier.

Niveau de risque pour la vie privée : 3

Détails :

Les renseignements personnels peuvent comprendre : le nom, les coordonnées, le numéro d’assurance sociale ou le numéro d’identification temporaire (NIT), la date de naissance, la date de décès, le revenu, l’attestation d’admissibilité, les renseignements sur le dépôt direct, l’incarcération et l’adresse postale. Le NIT est un identifiant utilisé par l’Agence pour les contribuables qui résident au Canada et qui sont tenus de produire des déclarations de revenus, mais qui ne peuvent obtenir un NAS. Les personnes ayant un numéro d’identification-impôt (NII) [c.-à-d. les non-résidents, les étudiants internationaux] ne sont pas admissibles à la PCUE.

Les demandeurs étaient tenus d’attester qu’ils sont un citoyen canadien, un Indien inscrit, un résident permanent ou une personne protégée, entre autres renseignements sur l’admissibilité, et de confirmer s’ils ont des personnes à charge ou une déficience, ainsi que d’indiquer la période pour laquelle ils ont fait la demande.

Afin de déterminer davantage l’admissibilité, le système d’identification T1 de l’Agence a fait l’objet d’une référence croisée (rapprochement des données) avec les renseignements suivants :

• Date de naissance : Pour déterminer la méthode de demande, les particuliers âgés de 15 ans et moins et de 45 ans ou plus devaient passer par le biais du centre d’appels des demandes de renseignements des particuliers pour s’assurer de l’admissibilité aux prestations.
• Date de décès : Cette vérification empêchait le traitement de la demande.
• Le statut correctionnel du demandeur empêchait le traitement de la demande.
  • Détenus fédéraux : Données reçues du Service correctionnel du Canada (SCC) pour l’incarcération fédérale conformément au protocole d’entente entre l’Agence et le SCC.
  • Détenus provinciaux : Une liste des adresses publiques des établissements provinciaux pour les personnes incarcérées dans la province. Ces personnes n’ont pas droit à la prestation. On les a avisés qu’elles ne peuvent pas présenter une demande de PCUE en raison de leur statut correctionnel.

C) Partenaires de programme ou d’activité et participation du secteur privé

Avec d’autres institutions fédérales

Niveau de risque pour la vie privée : 2

Détails : L’Agence a administré et appliqué la PCUE au nom d’EDSC.

Services partagés Canada soutenait le mécanisme d’Exchange de données (FTP sécurise) entre EDSC et l’Agence

D) Durée du programme ou de l’activité

Programme à court terme

Niveau de risque pour la vie privée : 2

Détails : Il s’agissait d’un programme à court terme visant à aider les étudiants confrontés à des difficultés financières en raison de la pandémie de COVID-19 de mai à août 2020. Les étudiants ont été en mesure de présenter une demande rétroactive pour cette prestation jusqu’au 30 septembre 2020. Toutefois, les activités d’exécution (pour vérifier ou recouvrer des paiements erronés ou en trop) pourraient durer quelques années. Remarque : Pour cette ÉFVP, les activités d’exécution et d’observation de la phase 2 étaient hors de la portée et seront évaluées dans une ÉFVP distincte.

E) Population du programme

Le programme touche certains particuliers à des fins administratives externes.

Niveau de risque pour la vie privée : 3

Détails : Le programme touche les étudiants qui ont demandé cette prestation.

F) Technologie et vie privée

1. L’activité ou le programme (nouveau ou modifié) comporte-t-il la mise en œuvre d’un nouveau système électronique, d’un logiciel ou d’un programme d’application, y compris un collecticiel (ou logiciel de groupe) qui est utilisé pour soutenir le programme ou l’activité eu égard à la création, la collecte ou la manipulation de renseignements personnels?

Risque pour la vie privée : Non

   2. Le programme, nouveau ou modifié, ou l’activité est-il une modification des anciens systèmes et services de la TI?

Risque pour la vie privée : Oui

   3. Le programme, nouveau ou modifié, ou l’activité comprend la mise en œuvre d’une ou de plusieurs des technologies        suivantes?

Méthode d’identification améliorée – cela comprend la technologie biométrique (c.-à-d. la reconnaissance de visage, l’analyse de la démarche, la lecture de l’iris, l’analyse des empreintes digitales, l’empreinte vocale, l’identification par radiofréquence (IRF), etc.) ainsi que la technologie « E-ZPass », les nouvelles cartes d’identité, y compris les cartes à bande magnétique, les « cartes intelligentes » (c.-à-d. des cartes d’identité dans lesquelles on a intégré une antenne ou une plage de contact qui est reliée à un microprocesseur et à une puce de mémoire ou une seulement à une puce de mémoire dotée d’une logique non programmable).

Risque pour la vie privée : Non

Utilisation de la surveillance – cela comprend les technologies de surveillance telles que les dispositifs d’enregistrement audio ou vidéo, l’imagerie thermique, les dispositifs de reconnaissance, l’IRF, la surveillance clandestine et l’interception, la surveillance assistée par ordinateur, y compris les pistes de vérification, la surveillance par satellite, entre autres.

Risque pour la vie privée : Non

 

Utilisation de l’analyse automatisée des renseignements personnels, du rapprochement des renseignements personnels et des techniques de découverte des connaissances – pour l’application de la Directive sur l’ÉFVP, les institutions fédérales doivent déterminer les activités qui consistent à utiliser une technologie automatisée pour analyser, créer, comparer, déterminer ou extraire des éléments des renseignements personnels. De telles activités comprendraient le rapprochement de renseignements personnels, le couplage de dossiers, l’exploration et la comparaison de renseignements personnels, la découverte de connaissances, de même que le filtrage ou l’analyse de renseignements personnels. Ce genre d’activités consiste à recourir à une certaine forme d’intelligence artificielle et/ou d’apprentissage automatique pour découvrir des connaissances (renseignements), des tendances ou des modèles ou pour prédire des comportements.

Risque pour la vie privée : Oui

G) Transmission des renseignements personnels

Les renseignements personnels sont utilisés dans un système qui est relié à au moins un autre système.

Niveau de risque pour la vie privée : 2

Les renseignements personnels sont transférés à un appareil portable ou sont imprimés.

Niveau de risque pour la vie privée : 3

Les renseignements personnels sont transmis à l’aide de technologies sans fil.

Niveau de risque pour la vie privée : 4

Détails : Les particuliers ont soumis leurs renseignements personnels dans leur demande de PCUE à l’Agence par voie électronique au moyen de Mon dossier en utilisant une technologie avec ou sans fil. Par ailleurs, ils peuvent transmettre leurs renseignements personnels à l’Agence au moyen d’un service téléphonique automatisé en utilisant une ligne téléphonique terrestre ou cellulaire. Ces renseignements Protégé B sont ensuite stockés dans divers systèmes et bases de données de l’Agence, qui ont accès à d’autres systèmes et, dans des circonstances limitées, peuvent être transférés à un appareil portatif sécurisé approuvé par le ministère, comme une clé USB sécurisée avec un niveau de chiffrement plus élevé (p. ex., dans le cas d’une divulgation autorisée aux organismes d’application de la loi).

Les données du demandeur sur son NAS, volet et période de paiement sont tirées de l’ordinateur central de l’Agence. Ils sont ensuite envoyés à EDSC au moyen d’un canal sécurisée existant, soit le protocole de transfert de fichiers (FTP) sécurisé à l’aide du logiciel de chiffrement Entrust.

Le mécanisme d’échange de données (protocole FTP sécurisé) entre EDSC et l’Agence – et appuyé par SSC – existe depuis plus d’une décennie et est demeuré le même pour la présente initiative.

H) Risque possible pour le particulier ou l’employé

Détails : Si des renseignements personnels sont compromis, cela peut entraîner un préjudice financier et un embarras pour le particulier touché.

Au début du mois d’août, le gouvernement du Canada a pris des mesures pour mettre fin aux attaques de bourrage de justificatifs contre le Service de justificatifs d’identité portant la marque du gouvernement du Canada (« CléGC ») et le Mon dossier pour les particuliers de l’Agence.

L’Agence continue de surveiller les activités suspectes découlant des attaques de bourrage de justificatifs. Des mesures de protection ont été mises en place pour les comptes touchés. L’Agence a également mis en place des mesures pour repérer les comptes à risque élevé afin de prévenir les demandes de PCUE potentiellement suspectes. Tous les paiements de la PCUE valides continueront d’être émis.

Mon dossier Service Canada utilise la CléGC comme l’une des options pour ouvrir une session. Auparavant, les particuliers pouvaient accéder à leur Mon dossier de l’Agence au moyen d’un lien à partir de leur dossier Mon dossier Service Canada. Ce lien a été désactivé en réponse.

L’Agence collabore avec la GRC dans le cadre de son enquête sur les attaques de bourrage de justificatifs. L’Agence continue aussi de travailler avec des homologues du gouvernement, y compris le Centre canadien pour la cyber sécurité et le Secrétariat du Conseil du Trésor du Canada, pour répondre aux attaques de bourrage de justificatifs.

Le Commissariat à la protection de la vie privée a été informé des incidents de cyber sécurité. Le commissaire à la protection de la vie privée a entamé des enquêtes.

De plus amples renseignements sur les mesures d’atténuation se trouvent dans l’évaluation des facteurs relatifs à la vie privée de la gestion de l’authentification et des justificatifs d’identité.